Selvbetjent id-styring i Skattetaten

Slik forenes og forenkles tilgangen til løsningene med full sikkerhet.

Publisert Sist oppdatert

- Vi har bygget siloløsninger siden 1970, først på Mainframe, siden på andre plattformer. Vi har ønsket å få etablert en samlet, enhetlig og sikker forvaltning av brukeridenter og tilgangsrettigheter til våre IT-systemer. Til dette har vi valgt å benytte egenskaper ved Tivoli Identity Manager. sier Karl Olav Wroldsen, it-direktør i Skatteetaten.

Det er Riksrevisjonen som har fått Skatteetaten til å skjerpe seg. Gjennom flere år har Riksrevisjonen kritisert tilgangen til ligningen for nyansatte, senest for 2009.

"Selv om det ikke er påvist misligheter er det uholdbart at ansatte kan påvirke egen eller andres ligning" skrev Riksrevisjonen i 2007. Den gangen kunne tidligere ansatte, ansatte i permisjon og konsulenter få tilgang. I 2009 hadde flere nyansatte vært inne på egen ligning inntil 18 ganger.

Derfor ønsker Skatteetaten en sikkerhetsløsning, det vil si et rettighetssystem som er sikkert, og enkelt å bruke for den ansatte, andre etater og innleide fagfolk.

- Vi ønsker å bruke Single Sign On mot et rammeverk. Det er ennå mye å gjøre, men i løpet av de to neste årene skal alt være på plass, fortsetter Karl Olav Wroldsen.

Grunnen er at det skal være så enkelt at det ikke trengs noen opplæring.

Selvbetjent

- Vi har ikke hatt brukeropplæring ved innføring av rettighetssystemet. Den selvbetjente løsingen reduserer behovet for brukerstøtte, sier Knut Leirpoll, prosjektleder for selvbetjent identitetsforvaltning.

Derfor har Skatteetaten jobbet grundig for å avdekke problemstillingen som møter en bruker når vedkommende skal ha tilgang til en spesiell funksjon i en av de mange applikasjonene.

- Skatteetaten har derfor introdusert rollebasert tilgang, sier Eirik Gulbrandsen, sikkerhetsekspert i IBM.

For å avklare behovene har Skatteetaten gått gjennom en designfase hvor man ved hjelp av tegneverktøyet Visio skisserte forretningsprosessene knyttet til sikker tilgang til funksjoner. Forprosjektet gikk på å avdekke utfordringer, behov og gevinster.

- Designen ble gjort veldig grundig og gått gjennom av forskjellige fagfolk, sier Eskild Storvik, sikkerhetsekspert og tidligere prosjektleder.

Visio ble dermed brukt til forretningsanalyse, men ideen var bare å avdekke i hvilken grad designen omfattet alle elementer og lot seg virkelighetsgjøre teknisk. Fokuset gjaldt kun tilgjengelighet til funksjoner, ikke ansattes daglige arbeidsoppgaver og saksgang.

Nødvendig

2.000 av 6.000 ansatte har fått delvis eller helt nye arbeidsoppgaver ved å samle fagmiljøene ifølge skattedirektør Svein Kristensen. Tilgangskontrollen er derfor absolutt nødvendig.

Konsekvensen er at rettighetssystemet benytter universalpålogging ved hjelp av tofaktor identifisering, rollebasert tilgangskontroll og selvbetjening. Grunnlaget er tilpasninger til Tivoli Identity Manager som er en videreutvikling av Access360 som IBM kjøpte i 2002.

Leveransen har pågått siden januar 2009 med levering av første fase. I mars ble fjerde fase ferdigstilt. Første og andre leveranse omfattet forankringen til personalmodulen i forretningssystemet SAP.

Nyansatte blir meldt inn i SAP og får umiddelbart generell adgangskontroll til Skatteetatens systemer.

- Når en nyansatt blir lagt inn i SAP blir det åpnet en konto i rettighetssystemet. En dag før den nyansatte begynner får vedkommende en sms med passord til systemet, forklarer Knut Leirpoll.

Les mer på neste side!